Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

privacy

Valutazione del rischio e accountability: come “mettere a terra” gli adempimenti del GDPR

Come impostare un modello di valutazione del rischio privacy conforme agli adempimenti del Regolamento Europeo per la protezione dei dati (GDPR) e al principio di accountability

30 Lug 2019

Marco Toiati

Ingegnere


Una delle principali novità del GDPR riguarda la responsabilizzazione del Titolare del trattamento, cioè di colui che determina finalità e mezzi di trattamento di dati personali, che è soggetto al cosiddetto principio di accountability. Tale principio lascia proprio al Titolare, figura soggettiva prevista dal Regolamento Europeo, l’ownership di determinare non solo il rischio di impatto che il trattamento può avere sulla libertà e sui diritti degli interessati (cioè dei soggetti, persone fisiche o ditte individuali, i cui dati vengono trattati) ma anche di dimostrare che sia la valutazione di rischiosità sia la conseguente scelta di misure (tecnico/organizzative) di sicurezza sia stata effettuata con solidi razionali documentabili.

Tuttavia il Regolamento non dice come accountability ed analisi del rischio siano operativamente declinabili nella realtà aziendale e come, soprattutto, siano conciliabili con le scelte organizzative, con i processi interni e con le strategie di sicurezza.

L’Autorità per la Protezione dei Dati Personali ha più volte evidenziato il problema della mancanza di una procedura formalizzata di valutazione del rischio privacy. In particolare Claudio Filippi, Dirigente Responsabile delle attività ispettive, nel suo intervento al Privacy Day forum 2019 tenutosi al CNR di Pisa lo scorso giugno, ha segnalato una grave mancanza in tal senso, elemento questo che contravviene proprio al principio di Accountability. Lo scorso anno, come evidenziato da Filippi, le Autorità di Protezione Dati appartenenti al GPEN (Global Privacy Enforcement Network) hanno effettuato uno “sweep” cioè un’indagine ispettiva a tappeto in 18 paesi europei con l’obiettivo di verificare il rispetto del principio di Accountability.

In Italia il Garante per la Protezione dei Dati Personali ha indicato 19 soggetti pubblici e 54 società “in house”. Il tema della mancanza di un processo di valutazione del rischio privacy è stato considerato da questa indagine di elevata gravità. Guardando solo allo scenario italiano, il 24% delle società “in house” ed il 58% delle Regioni hanno mostrato di non avere un processo formalizzato di valutazione del rischio sulla protezione dei dati personali, anche in situazioni di utilizzo di tecnologie innovative o di nuovi servizi. Si può immaginare quali possano essere le implicazioni se, si pensa che a livello regionale sono coinvolte strutture sanitarie che trattano dati di estrema delicatezza.

Questo articolo si pone proprio l’obiettivo di fornire criteri, strumenti e, principalmente, un approccio pragmatico per poter implementare una propria metodologia di valutazione del Rischio Privacy conforme al Regolamento e rispondente al principio di accountability.

Ci si addentrerà dapprima proprio sul tema dell’accountability per comprenderne appieno il significato e vedere come mettere in atto strategie volte alla sua implementazione. Si esamineranno quindi gli strumenti che l’attuale normativa internazionale mette a disposizione per impostare la valutazione del rischio privacy basata su solidi razionali documentabili. Quindi si procederà a declinare tutti questi elementi in un metodo di valutazione e calcolo del rischio. Infine si mostrerà come il metodo proposto possa essere integrato con la realtà organizzativa ed operativa (processi) aziendale.

Significato e implicazioni dell’accountability

Nel GDPR, il termine accountability viene usato nella versione redatta in lingua inglese. Nella versione italiana, si parla in modo più generale di “Responsabilizzazione”, in particolare al Capo II, articolo 5, paragrafo 2, dove, con riferimento al Titolare del trattamento si legge “Il Titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)”. Lo stesso concetto viene anche espresso nel considerando n. 85.

Il termine accountability è di origine anglosassone e viene spesso messo in correlazione al termine italiano Responsabilità. In realtà il termine inglese ha un’accezione più ampia dal momento che un soggetto “accountable” non solo è responsabile delle attività e delle scelte che mette in atto in modo conforme al GDPR, ma, nel compiere tali scelte, tiene in considerazione tutti i vincoli interni ed esterni mettendo in atto modalità di trattamento dei dati e misure di sicurezza e riduzione del rischio di impatto sugli interessati che risultino efficaci ed efficienti. [1]

Ci si chiede allora quali siano gli strumenti per poter dimostrare l’aderenza al principio di accountability.

I codici di condotta

Sempre nel Regolamento Europeo si fa riferimento a codici di condotta ed a schemi di certificazione che possono essere messi a disposizione dal Legislatore (comunitario o nazionale) per dimostrare l’adeguatezza del trattamento e delle relative misure di sicurezza. Tale argomento è trattato nel Capo IV sezione 5 – Codici di condotta e certificazioni oltre che in diversi considerando (98,99,100,167,168).

Lo scopo e l’utilità dei codici di condotta e delle certificazioni vengono indicati in più punti del Regolamento. Si vogliono qui di seguito riportare i principali riferendosi in particolare alla figura del Titolare del trattamento [cfr. n.3 bibliografia]:

Capo IV – Sezione 1 – Art. 24 Responsabilità del Titolare del Trattamento – paragrafo 3
“L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del Titolare del trattamento.”

Capo IV – Sezione 2 – Art. 32 – Sicurezza del Trattamento – paragrafo 3
“L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.”

Capo IV – Sezione 3 – Art. Valutazione d’impatto sulla protezione dei dati – paragrafo 8
“Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.”

Considerando 77
Gli orientamenti per la messa in atto di opportune misure e per dimostrare la conformità da parte del Titolare del trattamento o dal responsabile del trattamento in particolare per quanto riguarda l’individuazione del rischio connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e l’individuazione di migliori prassi per attenuare il rischio, potrebbero essere forniti in particolare mediante codici di condotta approvati, certificazioni approvate, linee guida fornite dal comitato o indicazioni fornite da un responsabile della protezione dei dati. Il comitato può inoltre pubblicare linee guida sui trattamenti che si ritiene improbabile possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche e indicare quali misure possono essere sufficienti in tali casi per far fronte a tale rischio.

Normative internazionali: strumenti per l’accountability

In Italia la predisposizione dei codici di condotta è anche normata dal DLgs 101/2018 che ha adeguato il codice della Privacy di cui al DLgs 196/2003. Come noto il codice privacy vigente prima del GDPR riportava in allegato le “Regole deontologiche o codici di deontologia”. Il decreto legislativo 101/2018 di adeguamento al GDPR all’art. 20 stabilisce che entro 90 giorni l’Autorità Garante per la Protezione dei Dati Personali provveda alla ripubblicazione dei vecchi codici, emendati dalle disposizioni incompatibili rispetto al GDPR, senza prevedere alcuna consultazione pubblica.

Detta consultazione (con durata minima di 60 giorni) è prevista per le regole deontologiche a regime (art. 2-quater del Codice), ossia per quelle che saranno scritte ex novo oppure alle modifiche di quelle previgenti. In funzione di quanto appena descritto il Garante, ad oggi, ha provveduto all’adeguamento al Regolamento Ue 2016/679 dei Codici di deontologia e di buona condotta per i trattamenti di dati personali per scopi giornalistici, storici, statistici, scientifici e investigazioni difensive. Tali documenti sono stati pubblicati sulla Gazzetta Ufficiale della Repubblica Italiana.

Tutta l’attività appena descritta è sicuramente un buon passo avanti nel percorso di adeguamento alla regolamentazione europea. Tuttavia i Codici di Deontologia non contengono le indicazioni necessarie all’impostazione di un modello di valutazione del rischio privacy che tenga in considerazione tutti i vincoli e di tutti gli elementi che possono intervenire in un simile processo. I Codici infatti, forniscono principalmente delle condizioni cui attenersi in specifici settori per garantire la liceità del trattamento. Ci si chiede tuttavia se la sola valutazione di liceità sia sufficiente a garantire un adeguato presidio dei dati personali. Dal nostro punto di vista, la liceità del trattamento è un elemento di base ed imprescindibile; tuttavia molti sono gli elementi che concorrono a mettere a rischio la nostra privacy e tali elementi vanno valutati dal punto di vista della possibilità di impatto su noi interessati cioè sulla nostre vite private e su tutti gli aspetti correlati.

Alla luce del quadro sopra esposto nasce spontaneo porsi il problema di come sia possibile impostare una corretta valutazione della rischiosità del trattamento restando conformi al principio di accountability, cioè avendo anche la possibilità di dimostrare la correttezza e l’efficacia dei razionali adottati in aderenza alla normativa europea ed italiana vigente.

Per risolvere questo annoso problema è necessario lavorare proprio sui razionali alla base del modello di valutazione del rischio, intendendo ovviamente indicare con tale termine, la fattispecie del cosiddetto rischio privacy.

Allo stato attuale i principali strumenti a disposizione per l’impostazione di un’adeguata metodologia di risk management e, quindi, per sviluppare un modello di valutazione del rischio efficace, vanno ricercati negli standard e nelle normative tecniche presenti a livello internazionale ed europeo. Tali norme formulano criteri, parametri e regole che possono essere applicate da tutti in modo uniforme e coerente e valide a livello internazionale: è cioè possibile che aziende tra loro distanti, di paesi diversi e con diverse culture, possano adottare regole e parametri uguali qualora facciano riferimento a tali standard e normative.

Il principale organo di standardizzazione e regolamentazione è l’ISO (International Organization for Standardization) che è il più autorevole organismo a livello mondiale per la determinazione di regole tecniche per la valutazione e la standardizzazione dei processi in ambienti produttivi. L’ISO nasce nella sfera comunitaria come sistema di attestazione di conformità su base volontaria e competitiva della peculiarità e qualità dei processi e dei prodotti. La certificazione ISO è coordinata dall’Organizzazione Internazionale per la Standardizzazione delle procedure che disciplinano quasi tutte le attività umane.  Nell’ISO confluiscono gli Enti di normativa di 157 Paesi industrializzati e in via di sviluppo di tutto il mondo. Per l’Italia le norme ISO a livello mondiale e CEN (Comitato Europeo di normazione) a livello Europeo vengono rappresentate dal consorzio privato senza scopo di lucro UNI (Ente Nazionale Italiano di Unificazione) che si occupa dell’attività normativa nei settori industriali, commerciali e nel terziario. In particolare i compiti dell’UNI sono, tra altri, di elaborare nuove disposizioni in collaborazione con tutte le parti interessate, divulgare le norme tecniche e sostenere l’equilibrio delle norme. L’ISO collabora intrinsecamente con l’IEC (Commissione Elettrotecnica Internazionale) organizzazione internazionale responsabile della descrizione di standard in materia di elettricità, elettronica e tecnologie collegate.

L’adozione di normative e standard formali validi a livello internazionale è essenziale, allo stato attuale (cioè in assenza di codici di condotta specifici e di schemi di certificazione ex articolo 40 e 42 del GDPR), per la conformità al principio di accountability sancito dal Regolamento Europeo. Tale adozione, infatti, adeguatamente documentata, consente di fornire solidi razionali e riferimenti a standard riconosciuti a livello internazionale per dimostrare la reale efficacia e completezza delle proprie scelte in tema di misure tecniche e/o organizzative e di valutazione del rischio a salvaguardia degli interessati.

Procediamo ora ad esaminare quali siano le norme di interesse nello smisurato panorama delle normative disponibili in letteratura. Di seguito si fornisce un elenco delle normative di interesse ai nostri fini (ambito rischio privacy) con l’indicazione della versione (indicata dall’anno di pubblicazione). E’ necessario fare attenzione al fatto che l’anno di riferimento rappresenta una versione specifica del documento che può essere interessato da significative modifiche rispetto alle precedenti. Nella fattispecie delle normative di seguito citate, si fa notare che si stanno considerando versioni relative agli anni 2017/2018 cioè successive al GDPR nelle quali gli organismi di normazione hanno voluto tenere in considerazione quanto emerso dalla stesura del Regolamento Europeo.

Le normative di interesse ai fini della valutazione del Rischio Privacy sono:

  • UNI/ISO 31000:2018 – Risk management — Guidelines
  • ISO/IEC 29134:2017 – Information technology — Security techniques — Guidelines for privacy impact assessment
  • UNI CEI EN ISO/IEC 27001:2017 – Information technology – Security techniques – Information security management systems – Requirements
  • UNI CEI EN ISO/IEC 27002:2017 – Information technology – Security techniques – Code of practice for information security controls
  • ISO/IEC 29151:2017 – Information technology — Security techniques — Code of practice for personally identifiable information protection

La normativa internazionale in ambito Privacy

Passiamo ora velocemente in rassegna gli aspetti principali di ciascuna delle normative sopra elencate, evidenziando gli elementi che concorrono ad impostare un efficace modello di Valutazione del Rischio Privacy.

UNI/ISO 31000:2018

La norma [5] è destinata a coloro che creano e proteggono valore nelle organizzazioni avendo cura di gestire rischi, prendere decisioni, fissare e conseguire obiettivi e migliorare le prestazioni. Fornisce linee guida per gestire i rischi che le organizzazioni affrontano e può essere utilizzato durante tutta la vita dell’organizzazione, oltre a poter essere applicato a qualsiasi attività, compreso il processo decisionale a tutti i livelli. L’approccio comune suggerito dal documento è idoneo a gestire qualsiasi tipo di rischio, non è dedicato ad un particolare settore o industria e può essere adattato a qualunque organizzazione e al suo contesto. I principi, la struttura di riferimento e il processo delineati in questo documento consentono di gestire il rischio in modo efficiente, efficace e sistematico. [cfr. n.2 bibliografia]

Questa normativa rappresenta l’impianto base per la gestione del rischio dal momento che fornisce principi e linee guida generali. L’impianto può essere utilizzato da qualsiasi organizzazione e non presenta specificità per settore industriale o di mercato. L’adozione della ISO 31000 può riguardare l’intero ciclo di vita di un’organizzazione, ed essere utilizzata in molteplici attività (es. processi, progetti, servizi, beni, ecc.) rispetto ai quali determinare la rischiosità. Si fa notare che non viene presa in considerazione una tipologia specifica di rischio. Dunque possiamo considerare questa normativa come fondamenta del modello di Valutazione del Rischio Privacy che andremo a definire.

La versione 2018 della ISO 31000 introduce delle importanti differenze rispetto alle versioni precedenti. Possiamo riassumere queste novità in tre punti;

  • Viene dato risalto al concetto di leadership, valorizzando particolarmente il ruolo del “Top Management” nella gestione dei rischio. Nella ISO 31000 questo concetto è riportato a tutti i livelli dell’organizzazione che devono insieme concorrere, secondo ruoli e responsabilità differenti e complementari ad una corretta gestione del rischio nell’organizzazione. Per questo motivo viene particolarmente stressato il tema della Governance.
  • Considerazione dei vincoli e degli elementi esterni all’organizzazione: la normativa pone l’accento sulla necessità di essere costantemente allineati ai mutamenti delle condizioni esterne per poter effettuare una gestione del rischio efficace.
  • Gestione continua del rischio: revisione costante del processo di valutazione e gestione del rischio per essere sempre allineati alla realtà di interesse (continuos improvement).

Della ISO 31000 ci interessa mutuare l’approccio di valutazione del rischio ed i concetti/grandezze che concorrono alla definizione dello stesso quali le minacce ed i controlli, cioè le misure di mitigazione. Per quanto detto prima, l’approccio deve essere immerso ed integrato nella realtà aziendale in modo trasversale coinvolgendo tutti i ruoli secondo un ciclo virtuoso PDCA (Plan Do Check Act).

ISO/IEC 29134:2018

La normativa  [6] è focalizzata sul processo di PIA (Privacy Impact Assessment) che è strettamente correlato alla valutazione del Rischio Privacy ed agli adempimenti che il Regolamento GDPR considera in capo al Titolare del Trattamento. Infatti all’Art. 35 – paragrafo 1 il GDPR riporta:”

Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.

La PIA è proprio la valutazione di impatto indicata dall’articolo e prevede, come primissimo atto, una identificazione, valutazione e gestione del rischio che un trattamento di dati personali possa avere sui soggetti interessati. Tale rischio è identificabile come Rischio Privacy.

Nella normativa viene riportato il processo PIA che è riassumibile in 4 passaggi fondamentali:

  1. Definizione dei criteri per decidere se sia necessario procedere con una PIA a fronte di un trattamento di dati personali. Mettendo in correlazione questo passaggio con quanto riportato dal GDPR all’art. 35 – paragrafo 1, se ne ricava l’importanza di definire criteri di valutazione del rischio inerente (cioè in assenza di misure di mitigazione).
  2. Preparazione della PIA, cioè acquisizione di tutte le informazioni relative al trattamento in analisi che consentano di identificare e di valutare il rischio privacy ad esso correlato. In questa fase è essenziale il coinvolgimento di tutte le funzioni aziendali che possono concorrere a definire gli aspetti legati al trattamento, all’organizzazione, ai vincoli ed agli elementi interni ed esterni che incidono sul calcolo del rischio.
  3. Esecuzione della PIA. L’azione fondamentale è proprio la valutazione del Rischio Privacy che viene effettuato identificando le fonti di rischio (minacce), il relativo impatto e le misure di mitigazione (o controlli).
  4. Predisposizione del piano di gestione del rischio e della relativa reportistica a supporto. Il piano di gestione del rischio è l’insieme delle azioni (operative, di controllo, di monitoraggio, implementative) finalizzate al mantenimento del livello di rischio al di sotto di soglie considerate accettabile.

Come vedremo più avanti, questa normativa è essenziale nell’impostazione della metodologia di Valutazione del Rischio Privacy dal momento che descrive nel dettaglio i passaggi necessari per giungere ad effettuare un’analisi ed un calcolo strutturati. Si fa notare che in letteratura si parla spesso di DPIA e non di PIA. L’acronimo DPIA sta per Data Protection Impact Assessment e, dal punto di vista degli adempimenti GDPR rappresenta un processo del tutto analogo alla PIA, dove invece si fa riferimento al più ampio concetto di Privacy.

UNI CEI EN ISO/IEC 27001:2017

La norma [8specifica i requisiti per stabilire, attuare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto dell’organizzazione. Inoltre essa include i requisiti per la valutazione e il trattamento dei rischi per la sicurezza dell’informazione adatti alle esigenze dell’organizzazione. I requisiti presenti nella norma sono generici e destinati ad essere applicati a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dalla loro natura [cfr. n.2 bibliografia].

Ancora una volta si tratta di una normativa non contestualizzata per settore di mercato o per tipologia di dati trattati. Dunque è applicabile a tutti i contesti.

Gli elementi della normativa da considerare ai fini della Valutazione Rischio Privacy sono essenzialmente i controlli che sono definiti nell’appendice A. Per controllo si intende una misura di mitigazione di natura tecnico e/o organizzativa. Questi controlli sono molto dettagliati e suddivisi in classi come di seguito riportato:

  • Politiche per la sicurezza delle informazioni;
  • Organizzazione della sicurezza delle informazioni;
  • Sicurezza delle risorse umane;
  • Gestione degli asset;
  • Controllo degli accessi;
  • Crittografia;
  • Sicurezza fisica ed ambientale;
  • Sicurezza delle attività operative;
  • Sicurezza delle comunicazioni;
  • Acquisizione, sviluppo e manutenzione dei sistemi;
  • Relazioni con i fornitori;
  • Gestione degli incidenti relativi alla sicurezza delle informazioni;
  • Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa;
  • Conformità.

UNI CEI EN ISO/IEC 27002:2017

La norma [9] fornisce le linee guida per gli standard e le pratiche di gestione della sicurezza delle informazioni di un’organizzazione, compresa la selezione, l’implementazione e la gestione dei controlli. [2]

In sintesi la normativa fornisce gli elementi necessari ad implementare quanto specificato nella ISO 27001.

Anche questa norma, analogamente alla precedente, è generale per ambito di applicazione e per tipologia di informazioni.

Si vuole sottolineare che l’ISO ha intrapreso l’iter di pubblicazione di una nuova norma ISO 27552 che rappresenta la specializzazione della ISO27001 e della ISO27002 alla gestione di dati personali, come si può desumere dallo stesso titolo: ISO/IEC PRF 27552 – Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines.

ISO/IEC 29151:2017

La normativa [7deve essere considerata come corrispondente alla ISO 27001 nel campo dei dati personali, cioè delle informazioni dei così detti PII – Personal Identifiable Individuals che altro non sono che gli interessati al trattamento così come definiti nel GDPR all’art.4 – paragrafo 1 [cfr. n.3 bibliografia].

Nella fattispecie, i controlli introdotti da questa normativa (rif. Allegato A) sono raggruppabili nelle seguenti famiglie:

  • Policy generali per l’uso e la protezione dei dati personali;
  • Scelta e consenso;
  • Legittimità delle finalità;
  • Acquisizione dei dati;
  • Minimizzazione dei dati;
  • Utilizzo e conservazione dei dati (data retention);
  • Accuratezza e qualità dei dati;
  • Trasparenza e gestione dell’informativa;
  • Diritti degli interessati;
  • accountability;
  • Sicurezza delle informazioni;
  • Privacy compliance.

Come è possibile vedere dall’elenco, si tratta di controlli che traguardano aspetti principalmente di natura organizzativa che, in molti casi, corrispondono agli adempimenti richiesti dal GDPR. Questi controlli, quindi, sono complementari rispetto a quelli definiti nella normativa ISO 27001 ed insieme formano un elenco strutturato perfettamente conforme a quanto richiesto dal Regolamento Europeo.

Metodologia per la valutazione del rischio privacy

Dal breve excursus delle normative ISO di riferimento risulta chiaro che abbiamo a disposizione tutti gli elementi necessari alla definizione di una metodologia strutturata di Valutazione del Rischio Privacy: processo (ISO 31000 ed ISO 29134), minacce (ISO 29134), controlli (ISO 27001, ISO 27002, ISO 29151).

La metodologia proposta si articola in 5 passaggi che consentono di utilizzare gli elementi in nostro possesso per arrivare alla valutazione di un livello di rischiosità del trattamento in analisi e, soprattutto, all’implementazione di un piano di gestione del rischio. Tutto ciò con metodo e soprattutto con dei solidi razionali tutti dimostrabili: nel pieno rispetto del principio di accountability.

Esaminiamo nel dettaglio i passaggi.

Analisi e valutazione di impatto dei dati personali trattati

In primo luogo il processo indicato dalla normativa ISO 29134 richiede di effettuare un’analisi dei dati personali che stiamo trattando, finalizzata a quantificare quali possano essere gli impatti sugli interessati al trattamento conseguenti ad una qualsiasi alterazione dei dati stessi.

Per alterazione di un dato personale si intende (come indicato nel GDPR art. 32 paragrafo 1 sezione b) una violazione della Riservatezza, dell’Integrità e della Disponibilità (nel seguito parametri RID).

Prima di procedere oltre, vediamo come queste tre caratteristiche siano definite in letteratura:

  • Riservatezza dei dati cioè gestione della sicurezza in modo tale da mitigare il rischio di accesso ai dati o di loro utilizzo non autorizzato.
  • Integrità dei dati, intesa come garanzia che i dati non vengano alterati, ossia non subiscano modifiche o cancellazioni a seguito di eventi esterni e/o di azioni deliberate e non (es. malfunzionamenti o danni degli asset che contengono i dati stessi).
  • Disponibilità dei dati, ossia salvaguardia dei dati in modo che ne sia garantito l’accesso, l’usabilità e la confidenzialità. Da un punto di vista di gestione dei rischi, significa ridurre a livelli accettabili i rischi connessi all’accesso alle informazioni (intrusioni, furto di dati, ecc.) garantendone la sicurezza.

Si fa notare come queste tre caratteristiche sono correlate al tema della sicurezza dei dati e riguardano informazioni di qualsiasi natura (elettronica, cartacea) ed i relativi asset (applicazioni informatiche, database, archivi documentali cartacei, ecc).

Dunque in questa fase, la valutazione deve tenere in considerazione come un’alterazione delle tre caratteristiche appena descritte (che per inciso sono quelle che possano configurare un Data Breach) possa avere impatto sulla libertà ed i diritti fondamentali degli interessati.

Per poter effettuare una valutazione oggettiva, è opportuno adottare una metrica e delle linee guida. Ad esempio è possibile adottare una scala di valutazione in quattro livelli (1 – BASSO, 2 – MEDIO, 3 – ALTO, 4 – CRITICO) specificando per ciascuno di essi e per ciascuna delle caratteristiche RID le linee guida di attribuzione.

Si riporta di seguito un esempio [10]:

keyboard_arrow_right
keyboard_arrow_left
Tipologia di ImpattoValore numerico assegnatoImpatto per violazione di Riservatezza, Integrità, Disponibilità (RID)
Basso1Gli individui possono andare incontro a disagi minori, che supereranno senza alcun problema (tempo trascorso reinserendo informazioni, fastidi, irritazioni, ecc.).
Medio2Gli individui possono andare incontro a significativi disagi, che saranno in grado di superare nonostante alcune difficoltà (costi aggiuntivi, rifiuto di accesso ai servizi aziendali, paura, mancanza di comprensione, stress, disturbi fisici di lieve entità, ecc.).
Alto3Gli individui possono andare incontro a conseguenze significative, che dovrebbero essere in grado di superare anche se con gravi difficoltà (appropriazione indebita di fondi, inserimento in liste nere da parte di istituti finanziari, danni alla proprietà, perdita di posti di lavoro, citazione in giudizio, peggioramento della salute, ecc.).
Critico4Gli individui possono subire conseguenze significative, o addirittura irreversibili, che non sono in grado di superare (incapacità di lavorare, disturbi psicologici o fisici a lungo termine, morte, ecc.).

Tabella con le linee guida per la valutazione di impatto RID

Naturalmente andrà indicato un valore di impatto per ciascuna delle tre caratteristiche. Tale differenziazione è importante perché consentirà, in seguito, di effettuare delle valutazioni differenziate sulla base delle minacce e dei controlli individuati.

Identificazione delle minacce e della relativa probabilità

Valutato l’impatto conseguente alla tipologia di dati personali trattati, si passa alla determinazione delle “Minacce”.

Con il termine minaccia di intende indicare un qualsiasi elemento (naturale, deliberato e non deliberato) che possa comportare un rischio di alterazione dei dati e quindi, in ultima analisi, possa determinare un impatto sui soggetti interessati. Ciascuna minaccia deve essere messa in relazione alla caratteristica RID che va ad impattare ed all’asset interessato (es. hardware, software, supporti cartacei, ecc.). In questo modo è possibile effettuare una prima valutazione, secondo le regole classiche di calcolo del rischio.

Un elenco di possibili minacce può essere rilevato nell’allegato B (o Annex B) della normativa ISO/IEC 29134:2018. A ciascuna minaccia deve essere associata una probabilità di accadimento (ad esempio come indicato nella tabella che segue). Abbinando la valutazione di impatto dei dati trattati rispetto alla singola caratteristica RID (step 1) con la probabilità di accadimento di una minaccia, è possibile valutare il rischio correlato a quella specifica minaccia.

keyboard_arrow_right
keyboard_arrow_left
ProbabilitàValore NumericoDescrizione
BASSA1Probabilità di accadimento inferiore al 30%
MEDIA2Probabilità di accadimento compreso fra 30% e 70%
ALTA3Probabilità di accadimento superiore al 70%

Tabella per l’indicazione della probabilità di una minaccia

Facciamo un semplice esempio per chiarire. Supponiamo di avere un trattamento di dati personali per i quali abbiamo valutato i seguenti impatti:

  • Impatto a seguito di violazione di Riservatezza: MEDIO – 2
  • Impatto a seguito di violazione di Integrità: BASSO – 1
  • Impatto a seguito di violazione di Disponibilità: ALTO – 3

Consideriamo ora la minaccia di seguito indicata (derivata da ISO/IEC 29134:2018 Annex B)

keyboard_arrow_right
keyboard_arrow_left
AssetAzioneCaratteristica RID ImpattataMinaccia
SoftwareUtilizzo AnomaloIntegrità, DisponibilitàModifiche non volute dei dati contenuti nel database; cancellazione di file necessari per il funzionamento dell’applicazione; errore utente

alla quale attribuiamo una probabilità MEDIA – 2.

I parametri appena considerati consentono di effettuare un calcolo del rischio base o Rischio Inerente associato al trattamento ed alla singola minaccia. Tale valore viene calcolato, in accordo con quanto definito nel modo seguente:

Rischio Base o Inerente (per singola minacca) = Impatto RID x Probabilità minaccia

= max(1,3) x 2 = 6

Con il termine “Rischio base” o “Rischio inerente” si indica il valore del rischio di impatto sul parametro RID dei dati personali oggetto di trattamento, senza prendere in considerazione l’applicazione delle misure di sicurezza che concorreranno, come vedremo, all’attenuazione del rischio stesso.

Si fa notare che l’Impatto RID viene valutato come valore massimo dello scoring associato all’integrità ed alla disponibilità, uniche caratteristiche interessate dalla minaccia considerata. Questo significa che la minaccia che abbiamo preso in considerazione potrà determinare solo un’alterazione dell’Integrità e della Disponibilità dei dati oggetto di trattamento con conseguente impatto sugli interessati, così come valutato nel primo passaggio (o Step 1) della nostra metodologia.

Questo calcolo dovrà essere ripetuto per ogni minaccia identificata come significativa nel proprio contesto per il trattamento di dati personali che si sta prendendo in considerazione.

Individuazione dei controlli e del relativo livello di adeguatezza

Una volta determinato il rischio inerente (per singola minaccia) si passa all’individuazione dei controlli, ossia delle misure di mitigazione. Tali controlli possono essere sia di natura tecnica sia di natura organizzativa e, come già specificato in precedenza, possono essere derivati dalla ISO 27001 (controlli prevalentemente tecnici) e della ISO 29151 (controlli di natura prevalentemente organizzativa). La scelta dei controlli deve essere conforme al Regolamento, commisurata al trattamento (quindi al relativo rischio) e deve tenere in considerazione tutti i vincoli (ad esempio tecnici, operativi, economici/finanziari, ecc) in essere nella realtà organizzativa in esame.

Individuato un elenco di controlli appropriato al proprio ambito di intervento, si passa a valutare l’efficacia di ciascuno di essi, cioè il risultato che essi determinano nell’azione di contenimento/controllo del rischio. Nel concreto, possiamo associare a ciascun controllo un relativo valore di adeguatezza cioè di efficacia nella mitigazione/controllo del rischio legato ad una minaccia definita.

Vediamo un esempio. Supponiamo di aver adottato le seguenti metriche per la valutazione di adeguatezza di un controllo:

keyboard_arrow_right
keyboard_arrow_left
Adeguatezza ControlloLinea guidaValore Numerico Adeguatezza Controllo% Mitigazione RischioValore Numerico Vulnerabilità% Vulnerabilità
InadeguatoControllo inadeguato alla mitigazione del rischio connesso alla minaccia10%-25%475%-100%
Parzialmente adeguatoControllo non applicato regolarmente o non completamente implementato225%-50%350%-75%
Abbastanza adeguatoControllo completamente implementato ma non applicato regolarmente350%-75%225%-50%
Completamente adeguatoControllo implementato ed applicato regolarmente475%-100%10%-25%

Tabella con le linee guida per la valutazione di adeguatezza di un controllo

Come si può vedere nella tabella è riportato anche il valore di “vulnerabilità”, altro concetto importante che rappresenta il reciproco dell’adeguatezza. In sostanza, un determinato Controllo, se non “Completamente adeguato”, determina un livello di esposizione residuo al rischio detto appunto “vulnerabilità”. L’associazione di uno scoring al controllo consente quindi di valutare sia il livello di adeguatezza dello stesso sia il livello di esposizione residuo dell’organizzazione.

Il concetto di “vulnerabilità” è essenziale per il calcolo del “rischio residuo” cioè del livello di rischiosità che la nostra organizzazione si troverà a dover gestire attraverso azioni di monitoraggio mirato dopo aver applicato le misure di sicurezza.

Continuando nel nostro esempio, supponiamo di adottare il controllo (derivato da UNI CEI EN ISO 27001:2017 Appendice A):

keyboard_arrow_right
keyboard_arrow_left
ID ControlloAmbitoControllo
A.14.2.2Procedura per il controllo dei cambiamenti di sistemaI cambiamenti ai sistemi all’interno del ciclo di vita devono essere tenuti sotto controllo attraverso l’utilizzo di procedure formali di controllo dei cambiamenti.

al quale attribuiamo una percentuale di mitigazione pari al 75%. Avremo un Rischio Residuo Privacy legato alla minaccia ed al controllo in questione valutato nel modo seguente:

Rischio Residuo = Rischio Inerente x %Vulnerabilità = 6 x 2= 12

La valutazione appena illustrata va sviluppata in modo puntuale per ogni coppia minaccia/controllo. Ovviamente in via preliminare deve essere sviluppata una matrice di corrispondenza che riporti per ciascun controllo quale sia la relativa minaccia gestita. Solo per le coppie valide della matrice di corrispondenza sarà necessario effettuare la valutazione del rischio.

Il risultato appena calcolato rappresenta il valore assoluto associato il Rischio Privacy e deve essere interpretato mediante una Matrice di Rischio, per determinarne la relativa classe e, di conseguenza, l’accettabilità del rischio stesso. La matrice di rischio riporta nelle righe il valore della vulnerabilità (da 1 a 4 nel nostro esempio) e nelle colonne il range di valori del Rischio Inerente (da 1 a 12 nel nostro esempio).

Seguendo l’approccio sin qui mostrato, una possibile Matrice di Rischio potrebbe essere definita nel modo seguente:

Si riporta di seguito la legenda delle Classi di Rischio

keyboard_arrow_right
keyboard_arrow_left
Classe di RischioColoreAzione
ALTARossoIl Rischio Privacy non può essere accettato. Rivedere le modalità di trattamento ed i relativi controlli. Nel caso non sia possibile intervenire sul trattamento, decidere se procedere o meno nell’implementazione e se procedere alla consultazione dell’Autorità Garante per la Protezione dei Dati Personali (ex Art. 36 punto 1 del GDPR)
MEDIAGialloIl Rischio Privacy può essere accettato ed il trattamento implementato. Tuttavia si rende necessaria la redazione e l’esecuzione di un Piano di Gestione del Rischio.
BASSAVerdeIl Rischio Privacy può essere accettato e si può procedere all’implementazione del trattamento.

Tabella delle classi di rischio

Per quanto illustrato sinora, la valutazione del Rischio Privacy non porta ad un valore unico associato al trattamento ma ad una associazione di detto rischio ad ogni minaccia e relativo controllo che ne mitiga la rischiosità. Certamente è possibile assegnare al singolo trattamento il valore massimo tra quelli ottenuti; tuttavia una simile scelta non consentirebbe di avere ulteriori leve per la gestione del rischio.

Al termine della valutazione del Rischio Privacy si consiglia di produrre un report con dettaglio per controllo. In questo modo è possibile identificare i controlli con valore MEDIO per i quali deve essere necessariamente impostato il Piano di Gestione del Rischio.

Il Piano di gestione del rischio

Siamo arrivati alla conclusione del processo di Valutazione di Rischio Privacy ed abbiamo pertanto individuato tutti gli elementi che concorrono alla relativa valutazione: impatto relativo ai dati trattati (valori RID – Riservatezza, Integrità, Disponibilità), minacce e controlli. Combinando questi elementi siamo arrivati ad attribuire a ciascun controllo un valore di rischiosità articolato in tre classi secondo la matrice di rischio: alto, medio,basso.

Ovviamente un rischio alto non potrà essere accettato proprio per quanto espresso dal Regolamento Europeo (ex. Art. 35 e 36 GDPR). Un rischio medio o basso può essere accettato, cioè, in presenza di tali valori, è possibile procedere all’implementazione del trattamento. Tuttavia tale implementazione è condizionata alla definizione di un piano di attività che consentano di tenere sotto controllo le condizioni al contorno e quindi, in ultima analisi il rischio stesso. Si tratta di attività di monitoraggio e controllo oppure di implementazione di controlli non esistenti e/o rafforzamento di controlli già messi in atto.

Nel caso di controlli con rischio classificato nella fascia media e bassa, il processo di PIA descritto nella normativa ISO/IEC 29134:2018 prevede, dunque, la predisposizione di un piano di gestione del rischio. Si tratta, come già detto, di un piano che comprende tutte le attività di implementazione e di esecuzione dei controlli volte al mantenimento o all’ulteriore contenimento del rischio (nel caso di fascia MEDIA).

Vediamo nel dettaglio quali sono gli elementi che compongono detto documento.

Per prima cosa deve esistere una corrispondenza tra piano di gestione del rischio e piano dei controlli definito nell’ambito della propria organizzazione. Il primo documento, infatti, deve contenere la stima del costo connesso all’implementazione di ciascun controllo. A sua volta, il Piano di implementazione dei Controlli deve essere congruente con il piano di gestione del rischio che fa riferimento a tutti i fattori e le variabili significative (ad esempio riassegnazione delle nuove sorgenti di rischio derivanti da variazione nell’operatività, trasferimento dati, ecc.). Questa congruenza è essenziale per mantenere il controllo costante di tutti gli elementi che hanno impatto sul trattamento dei dati personali in analisi.

Secondo quanto riportato dalla norma ISO 29134, le informazioni da prevedere nel piano di gestione del rischio sono:

  • Correlazione tra requisiti di salvaguardia della privacy e rischi, insieme al dettaglio della modellazione delle minacce ed alle attività di progettazione dei controlli;
  • Elenco dei dati personali con indicazione della natura e dell’ownership;
  • Vincoli ed indicatori per la misurazione dei risultati;
  • Referenti responsabili del piano, compresi quelli che hanno la facoltà di approvare/rigettare ed implementare lo stesso;
  • Azioni proposte;
  • Requisiti di reporting e di monitoraggio;
  • Risorse umane necessarie per implementare e gestire a regime il progetto;
  • Altre Risorse necessarie;
  • Il timing e lo scheduling.

E’ essenziale anche una perfetta correlazione con la propria realtà aziendale. I piani di gestione del rischio privacy dovrebbero, infatti, essere integrati con i processi dell’organizzazione e discussi con gli stakeholder appropriati. Deve essere identificato il Risk Owner (cioè chi sottopone un trattamento dei dati personali alla valutazione del rischio) che ha l’onere di approvare il piano di gestione del rischio privacy ed accettare il Rischio Residuo. Tale accettazione dovrebbe essere formalizzata (ad esempio siglando un form di accettazione).

Infine, il piano di gestione del rischio deve essere gestito secondo le consuete tecniche di Project Management, considerando avanzamenti periodici con comitati di progetto e steering secondo un modello di governance che va definito in modo appropriato per essere aderente alla specifica realtà organizzativa nella quale si intende impiantare la metodologia.

Come calare la metodologia nella propria realtà organizzativa

Vale la pena a questo punto fare qualche riflessione circa i vincoli e le problematiche che si possono incontrare nell’adozione di un modello come quello appena illustrato.

Sicuramente siamo in presenza di un modello estremamente analitico e strutturato (a tratti forse apparentemente complesso). Si tratta certamente di un impianto adottabile da entità che presentino un’organizzazione articolata e nelle quali le funzioni ed i processi operativi siano adeguatamente definiti, strutturati ed implementati.

La valutazione del rischio privacy va sicuramente inserita nell’ambito di processi che riguardano l’implementazione di nuovi prodotti/servizi e quelli relativi a progetti di implementazione e manutenzione che comportino un trattamento dei dati personali. Inserire la metodologia a questo livello consente di monitorare e di valutare la nascita di nuovi trattamenti e l’evoluzione di quelli esistenti censiti nel Registro delle Attività di Trattamento in conformità all’art. 30 del GDPR. In questo modo non solo viene garantito il controllo ma anche un presidio forte dei principi di privacy by design e privacy by default sanciti sempre nel Regolamento Europeo all’art. 25. Tale articolo infatti riporta quanto segue:

Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

1.Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente Regolamento e tutelare i diritti degli interessati.

2.Il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

Le informazioni richieste per la valutazione del rischio privacy sono estremamente articolate e riguardano una molteplicità di funzioni aziendali. Per questo andrebbero definiti dei comitati multidisciplinari costituiti dagli stakeholder delle funzioni interessate.

L’adozione del modello inoltre è agevolata da una buona strutturazione della funzione di IT Security e di Risk Management. Tale strutturazione consente di mettere a fattor comune alcune informazioni essenziali per il calcolo del rischio (ad esempio i controlli) che possono derivare, ad esempio, da Piani di Cybersecurity semplificando de facto le fasi di valutazione del rischio privacy e mettendo a fattor comune il patrimonio informativo aziendale.

Conclusioni

Quanto descritto nel presente articolo rappresenta una possibile risposta ad una complessa questione posta dal GDPR, ossia quella dell’accountability. In assenza di codici di condotta con taglio operativo o schemi di certificazione (meccanismo previsti dal Regolamento Europeo al Capo IV sezione 5) si è mostrato come sia possibile ricorrere agli standard internazionali (ISO, IEC, EN, UNI) in ambito privacy, analisi del rischio e sicurezza dei dati, che sono stati aggiornati proprio a valle della pubblicazione del GDPR per adeguarli a quest’ultimo. Altre norme sono in corso di redazione alla data, proprio con lo scopo di dare indicazioni puntuali sui meccanismi di protezione dei dati personali ed analisi del rischio.

Con riferimento alle normative internazionali, è stato illustrato un modello di valutazione del Rischio Privacy estremamente analitico che consente di effettuare una valutazione dei propri trattamenti dati. Questo modello o metodologia deve essere integrata nei processi operativi aziendali e coordinata con i piani di sviluppo della maggior parte delle funzioni aziendali: Direzione IT, Sicurezza, Legale, Acquisti, Financial, ecc.

La metodologia mostrata non è focalizzata su uno specifico settore pubblico o privato e si presta pertanto ad essere adattata al proprio contesto agendo sulla identificazione degli elementi che la costituiscono: dati personali trattati, interessati, minacce e controlli.

Quanto sopra con l’obiettivo di fornire strumenti di lavoro pragmatici e basati su solidi razionali che consentano di “mettere a terra” gli adempimenti descritti nel Regolamento Europeo GDPR realizzando un metodo efficace per la salvaguardia dei dati personali ed, in ultima analisi, della nostra privacy.

________________________________________________________________

Bibliografia

[1] Fabiano, Nicola “GDPR & privacy: consapevolezza e opportunità. Analisi ragionata della protezione dei dati personali tra etica e cybersecurity: Prefazione di Giovanni Buttarelli (Italian Edition)” . goWare.

[2] UNI – Ente Italiano di Normazione – Catalogo Norme

[3] Garante per la Protezione dei Dati Personali – REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 Arricchito con riferimenti ai Considerando Aggiornato alle rettifiche pubblicate sulla Gazzetta Ufficiale dell’Unione europea 127 del 23 maggio 2018

[4] European Union Agency for Fondamental Rights – Manuale di Diritto Europeo in materia di protezione dei dati – Edizione 2018

[5] UNI/ISO 31000:2018 – Risk management — Guidelines

[6] ISO/IEC 29134:2017 – Information technology — Security techniques — Guidelines for privacy impact assessment

[7] ISO/IEC 29151:2017 – Information technology — Security techniques — Code of practice for personally identifiable information protection

[8] UNI CEI EN ISO/IEC 27001:2017 – Information technology – Security techniques – Information security management systems – Requirements

[9] UNI CEI EN ISO/IEC 27002:2017 – Information technology – Security techniques – Code of practice for information security controls

[10] ENISA – European Union Agency for Network and Information Security – Manuale per la Sicurezza nel trattamento dei dati personali – Dicembre 2017

Nota biografica autore

Marco Toiati, laureato in Ingegneria nel 1992. Professionista con venticinque anni di esperienza nel settore dell’Information Technology, ha iniziato la sua esperienza professionale come ricercatore presso il Consiglio Nazionale delle Ricerche (CNR) nel settore dell’Intelligenza Artificiale, ricoprendo successivamente incarichi di rilievo presso primarie aziende di consulenza direzionale e nel settore bancario. Ha approfondite competenze nel settore della privacy e della protezione dei dati personali, acquisite in oltre 6 anni di esperienza presso un Gruppo internazionale, dapprima come Responsabile Operation nell’IT Security e poi come Responsabile del Programma GDPR. Data Protection Officer certificato UNI 11697 ed eCF Privacy. Socio co-fondatore di UNIDPO – Unione Nazionale Italiana Data Protection Officer (www.unidpo.it ). E’ autore di numerosi articoli su riviste internazionali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3